Le RGPD s'applique à toutes les organisations qui traitent des données personnelles de personnes physiques situées dans l'Union européenne, quelle que soit leur taille ou leur emplacement.
Votre organisation a décidé de se mettre en conformité avec le RGPD, mais après avoir consulté internet, quelques guides, le site de la CNIL, vous ne savez pas par où commencer !
xDPO vous répond en cinq étapes simples :
Les 5 grandes étapes à suivre pour se mettre en conformité avec le RGPD:
1. Documenter, formaliser
C’est le premier principe du RGPD : vous devez prendre les mesures adéquates et les documenter de votre propre initiative. C’est le principe d’auto-documentation (« Accountability » article 5.2 du RGPD). Vous devez être capable de prouver que vous avez démarré le processus de mise en conformité, même si vous n’avez pas tous les documents règlementaires.
C'est dans ce cadre que vous devrez rédiger le Registre des traitements, qui décrit dans le détails vos différentes activités de traitement de données personnelles. Mais patience, nous vous conseillons de ne pas commencer par cet exercice, nous le verrons au moment du recensement des logiciels.
Notre conseil pour démarrer : créez un dossier en ligne partagé (Sharepoint, Dropbox) dans lequel vous centralisez tous vos documents, contrats, guides en rapport avec la protection des données personnelles, même s’ils ne sont pas finalisés. Ce sera une mine d’or pour votre futur DPO ou une ressource utile en cas de contrôle de la CNIL !
2. Mettre à jour ses mesures de sécurité
Cela paraît évident, mais la protection des données personnelles commence par la prise de mesures permettant d'assurer la sécurité des données en général (c’est l’article 32 du RGPD). N’oubliez pas que les données papiers sont aussi concernées : pensez à fermer les placards qui contiennent les dossiers du personnel. Mais la majorité de vos données concernées par le RGPD sont numériques : pensez à quelques règles simples de sécurité informatique (voir « notre conseil » ou notre page dédié aux règles essentielles pour votre cybersécurité) et à demander des garanties à vos sous-traitants (logiciels cloud, expert comptable).
Notre conseil pour démarrer : la méthode « MMS » : pour sécuriser les données manipulées par vos équipes, demandez-leur d’appliquer au minimum
1/ les Mises à jour des logiciels qu’ils utilisent, sans oublier leur navigateur internet
2/ les Mot de passe doivent être uniques à chaque utilisateur, être complexe et changés tous les ans minimum
3/ les Sauvegardes doivent être faites : si vous êtes cyberattaqué, ce sera la seule base à partir de laquelle vous pourrez redémarrer votre activité.
3. Recenser les logiciels et prestataires
Pour recenser les données, recensez les logiciels ! En effet, aujourd’hui toutes les données personnelles – concernées par le RGPD – passeront par un logiciel. Si vous listez les logiciels, vous aurez une bonne idée des données que vous traitez et de leur flux : d’où vient la donnée et où va-t-elle.
Détectez aussi dans votre organisation les modes d’installation des logiciels : sur un serveur au sein de votre organisation (« on premise ») ou dans le cloud (dans ce cas, renseignez-vous sur la localisation de l’hébergement).
A partir du moment où vous aurez recensé vos logiciels, vous aurez identifié la trame de votre Registre des traitements. Pour le finaliser, il ne vous restera qu'à lister les logiciels, leur finalité (à quoi sert ce logiciel?) et les compléter pour chaque traitement les règles d'or décrites ici
Notre conseil pour démarrer : commencez par les logiciels qui concernent les données du personnel (SIRH ; établissement de la paie) ou les clients/ usagers (newsletter, site internet, CRM, facturation, logiciel métier).
4. Un site internet irréprochable
Votre site internet regorge d’indices publics de votre conformité RGPD. Si vous vous assurez d’avoir une vitrine publique conforme au RGPD, vous diminuerez d’autant les risques de contrôle de la CNIL ou de plaintes de personnes. Nous vous le signalons dans l'article les trois piliers d'un site internet conforme, il faut être vigilant sur les points suivants : le certificat de chiffrement https, la présence de mentions obligatoires, la gestion des formulaires de contact et la gestion des cookies.
Notre conseil pour démarrer : sollicitez votre agence digitale ou votre service communication sur ces points. Ils doivent avoir une réponse !
5. Respecter les droits des personnes
Les données personnelles appartiennent aux personnes : elles ont donc des droits que vous devez connaître (articles 12 à 23 du RGPD) et que vous devez savoir traiter. En commençant par déterminer un moyen de communication : existe-t-il un e-mail spécifique ? (rgpd@chezvous.fr) Générique ? (contact@chezvous.fr) Qui le relève ? Qui doit traiter le message ? En général, il y a peu de demandes, mais elles peuvent être justifiées et argumentées : il faut savoir les traiter sinon le silence peut motiver les personnes à faire un recours auprès de la CNIL.
Notre conseil pour démarrer : créez une adresse e-mail visible sur la page d’accueil de votre site internet et mettez en place une règle de transfert du message vers votre chef de projet RGPD.
La mise en conformité au RGPD est un mix de bon sens et d'application de formalisme spécifique.
Avec ces cinq règles, vous serez en conformité avec les règles essentielles.
Si vous êtes bloqué ou si vous souhaitez un appui pour réaliser les documentations (Registre des traitements, Fiche de traitements, Analyse d'impact sur la protection des données - AIPD) n’hésitez pas à solliciter XPDO pour la réaliser !
Les internautes ont aussi consulté dans le Blog: